Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden. Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
NewsOnline-Personalausweis: Identitätsdiebstahl durch Schwachstelle im eID-Verfahren möglich
Der Fall beschreibt das unsichere TAN-Verfahren, das nutze ich nicht . Gut, dass es ausstirbt.
Ist genau wie mit Email/SMS zur Authentifizierung, taugt nix, sollte man dementsprechend nicht nutzen, wenn TOTP eine Option ist. Besser als kein Faktor ist es allemal.
Bei 2FA/MFA nutze ich TOTP, ist passiv und kann nicht einfach angegriffen werden.
Wenn ich plötzlich ein neues Gerät für Online-Banking autorisieren soll, weiß ich, ich muß das Passwort ändern.
Nochmal jede App die es in den Appstore schafft kann die originale bedienen ohne das Jemand erkennt das es passiert. Die muss nicht EiD App heißen sondern kann auch candycrush2.0 sein
Nö die Bank musste zahlen weil jemand fremdes mit Bankdaten den Kunden dazu gebracht hat per MFA App ja zu sagen. Und ich habe allgemein geschrieben man kann(im zweifel) jede App aus der ferne bedienen wenn das Gerät kompromittiert ist.
Ich gehe davon aus das es bei dir schwieriger wird weil du zeigst das du dir Gedanken um das Thema machst, unmöglich ist es nicht.
Beim Banking ist es auch nicht ganz so kritisch, da man betrügerische Abbuchungen meist als solche identifizieren kann und somit der Schaden versichert ist.
Bei eID ist es natürlich was anderes, allein weil behauptet wird es ist nicht knackbar daher Verträge bindend oder noch schlimmer hier ganz konkret ein Konto eröffnet werden konnte.
Ist wie in Hacker-Filmen, die guten zeigen, dass das Einfallstor der Mensch war und nicht die Technik. Wenn der User sich hacken läßt, hat er naturgemäß verloren.
Bei mir kann nur die Banking-App auf Push-Aktionen reagieren. TOTP läßt sich so nicht aushebeln. Die 30 Sekunden als Limit erschweren Impersonation zusätzlich.
Ich betreibe Zero-Trust - ist ein System verifizierbar als kompromitiert zu erachten, wird es zurückgesetzt und alle Zugänge werden geändert. Alle bekannten Zugänge werden dann wertlos.
Nochmal jede App die es in den Appstore schafft kann die originale bedienen ohne das Jemand erkennt das es passiert. Die muss nicht EiD App heißen sondern kann auch candycrush2.0 sein
[...]
NOCHMAL: ICH WEIß!!! Und jetzt lies nochmal, was ich geschrieben habe.
Nein, ich installiere mir eben nicht jede CandyCrush-Saga-App auf das Smartphone, mit dem ich AusweisApp und BestSign nutze, und wer jeden AppWahn mitmacht, sollte dann eben die Einzelzweck-Geräte nutzen. Ich habe sogar der Kassiererin bei dm vor einigen Wochen bei der dm-"App"-Einführung gesagt, dass ich lieber auf den Rabatt für die Einfphrung verzichte, als mir für jeden Laden eine extra App auf mein Smartphone zu installieren.
Ist wie in Hacker-Filmen, die guten zeigen, dass das Einfallstor der Mensch war und nicht die Technik. Wenn der User sich hacken läßt, hat er naturgemäß verloren.
in dem Fall war es wohl Beides, das System sagte dem Anwender nicht das "er" gerade eine neu erstellte Applepay Kreditkarte freischalten möchte, sondern nur "Registrierung Karte" was zur Story Karte wurde deaktiviert des Anrufers mit der vermeintlich echten Banknummer passte.
Daher ist es so wichtig das man solche Freigaben mit klaren Infos belegt.
Und ja Anrufe der Bank das die Karte missbraucht und gesperrt wurde gibt es wirklich. Selbst erlebt weil die KK meiner Frau scheinbar über NFC im Freizeitpark ausgelesen und damit in den Niederlanden Callya Karten gekauft wurde, bis bei der Bank ein System angeschlagen hatte.(waren 4 Buchungen )
Um das mal ganz klipp und klar und deutlich zu sagen: Dort, wo ich Windows verwende, glaube ich, zurecht davon auszugehen, dass jeder Programminstaller, dem ich für die Programminstallation Adminrechte verleihe, die Fähigkeit haben kann, das System komplett zu übernehmen, falls er dies wollen sollte. Und ich installiere LibreOffice auf Windows mit einem solchen Installer - OMG ich muss schon hundert mal das Konto durch Keylogger leergeräumt bekommen haben?
Du hast das geschrieben das ist schlicht Falsch den das passiert bei google und Apple regelmäßig
"Es passiert eben nicht, wie andere schrieben, millionenfach mit vertrauenswürdigen App-Anbietern, sondern millionenfach nur mit Junkware aus Sideloading-Quellen."
Ah, also "millionenfach passiert" heißt millionen Leute laden das runter. Ich kann dich trösten, die "Network-Optimizer" von YooPawn und Kiino-iks werden auch millionenfach heruntergeladen ohne dass ich deswegen glaube, wir müssten Programminstallationsfähigkeiten verbieten.
Und ich installiere LibreOffice auf Windows mit einem solchen Installer - OMG ich muss schon hundert mal das Konto durch Keylogger leergeräumt bekommen haben?
Nein den hier brauchst du ja noch eine 2. Instanz Seit PSD2. Daher konnte ggf nur deine Anmelde Daten ausgespäht worden sein solltest du von der falschen Webseite /bzw weil der richtige Download kompromitiert/gespooft war.
Bei den Appstores von Google /Apple läd man ggf eine App die entweder von Anfang verseucht sind oder später verseucht werden und das passiert jeden Monat hundert tausenden oder gar millionen Usern.
Also anlog wen du direckt aus dem MS Appstor ein solitär app läden würdest.
Was denn nun, redest du über Code-Einschleusungen oder über Phishing-Apps mit betrügerischem Anschein. Ich habe nicht viele Apps installiert, deswegen wiederhole ich die Frage vom früheren Abend: Wann war das echte BBC Sounds oder das echte Spotify das letzte Mal von Code-Einschleusung bertroffen?
niemand redet von verbieten nur kann man nicht von einer unknackbaren sichern und ein-eindeutigen Identifikationsnachweis sprechen wen dies nicht im Ansatz der Fall ist und nachweisbar missbraucht wurde nochmal es IST ein KONNTO eröffnet worden.
das ist der komplett falsche Ansatz der Ansatz muss lauten: es gibt kein sicheres Verfahr - Punkt.
Und eigentlich ist diese angeblich (ein-)eindeutige Identifikation/Verifikation in 99% aller Anträge komplett unnötig.
Einfach ein online Antrag idealerweise mit einer Personen Kennziffer(die vom Finanzamt entwickelt sich dazu) + (sofort)Überweisung reicht als Identifikation eigentlich komplett aus, da die Kontonummer eine Identifikation voraussetzte. Daher entfällt bei den meisten Verträgen z.b. Versicherungen bei Lastschrift eine zusätzliche Identifikation/Verifikation.
Was denn nun, redest du über Code-Einschleudungen oder über Phishing-Apps mit betrügerischem Anschein. Ich habe nicht viele Apps installiert, deswegen wiederhole ich die Frage vom früheren Abend: Wann war das echte BBS Sounds oder das echte Spotify das letzte Mal von Code-Einschleusung bertroffen?
Einbruch in den Bestand der Nutzerdaten ist nicht das, wonach ich gefragt hatte. Wann enthielt das im Playstore oder im Applestore enthaltene Spotify-Programmpaket selbst Schadcode, so wie dies für den Angriffsvektor auf die Ausweisapp-Funktion nötig ist?
Du sollst nicht mit der Funktion, sondern mit einer ÜBERWEISUNG Nachweisen wer du >vermutlich< bist den BISHER kann man sagen du musstest um das Konto zu bekommen dich Identifizieren.
(eiD hat diese Gewissheit gerade zerstört aber
Es reicht hier auch eine ausreichende Plausibilität zu schafen, du muss dich ja nicht ein-eindeutig idenfizieren das ist schlicht nicht notwendig in 99% aller Fälle . Da wo es notwendig ist, reicht es doch wenn der Antrag abgearbeit wurde und das Ergebnis perönlich entgegengenommen wird -mit Identifikation- das macht die Übergabe auch sicherer als Post. Win-win-Win
Was macht das denn jetzt für eine Unterschied. Wenn der Angreifer beide Faktoren der Online-Banking-Funktion knackt, kann er ja selber Überweisungen ausführen, und die Faktoren liegen beim Online-Banking genau wie bei der Ausweisapp wahlweise bei "Computer"+Einzelzweckgerät oder bei "Computer"+Smartphone. Ich seh den Unterschied nicht
Einbruch in den Bestand der Nutzerdaten ist nicht das, wonach ich gefragt hatte. Wann enthielt das im Playstore oder im Applestore enthaltene Spotify-Programmpaket selbst Schadcode, so wie dies für den Angriffsvektor auf die Ausweisapp-Funktion nötig ist?
schaust du erste link
Und wenn im system Nutzer Daten ausgelesen werden konnten, kan man auch den code einschleusen.
(das passierte im ersten link)
Wie gesagt NoPetya wurde über das staatlichen "ELSTER" Aqivalent ganz offiziel über die Update funktion weltweit bei (hundert) tausenden firmen eingespielt.
Welcher ist denn jetzt der erste Link, beim ersten im letzen Link-Beitrag fängt der Golem-Artikel an mit:
"Obwohl bislang nur ein einzelner Benutzer von einem Hacker-Angriff auf die Server des Musik-Streaming-Dientes betroffen sei," und da gehts um Einbruch in die Datenbank mit den Anmeldedaten usw.
Sag nicht "wie gesagt", wenns im Thread noch nicht gesagt wurde, aber NoPetya in der Ukraine als Teil des russischen Cyber-Kriegs ist sicherlich nicht das Alltags-Szenario. Ja, einer Atommacht ist es ein mal gelugnen, Schadcode in die Steuer-Software eines Landes unterzuschleusen, gegen das diese Atommacht mindestens seit 2014 Krieg führt. Also wenn Putin es will, kann Putin meine persönliche Identität klauen - davon gehe ich aber auch generell ganz unabhängig davon aus, wie das eID-verfahren in Deutschland läuft oder ob es überhaupt eines gibt.
. Gut, dass es ausstirbt.
